[Lugbz-list] Men in the middle
Chris Mair
chris at 1006.org
Sun Jul 20 09:15:47 CEST 2008
>
> Tu cosa mi riesci a confermare?
>
Niente di questo...
Prova tu stesso: prendi due server https con certificati riconosciuti
dal
tuo browser, determina il loro IP (dig), poi nel /etc/hosts metti una
riga tipo
ip_del_server_a nome_del_server_b
chiudi e apri il browser e collegati a
https://nome_del_server_b
verrai salutato da un bel popup, poliziotto giallo ;) o cosa mai...
Un proxy https che cercasse di fare man in the middle triggerebbe
lo stesso sintomo.
Ovviamente un proxy e` libero di farci tunnellare il traffico tra client
e server ma non potra influenzarlo o leggerlo.
Il weakest link di tutto questo secondo me sono le CA - non metterei
la mano nel fuoco che uno non riesca a farsi firmare un certificato
per un dominio non suo *in* *qualche* *caso* *isolato*.
Cmq, il tuo "evil hotel owner" dovrebbe riuscire a farsi firmare
certificati per gmail.com, hotmail.com, gmx.de, ... per poter
leggere le mail dei suoi clienti: non e` esattamente un operazione
facile, ovvero il seguente dialogo e` alquanto imaginario:
Thawte: Thawte, Buon Giorno.
Hotel owner: Buon giorno. Sono Eve L. Hotelowner.
Senta: avrei bisogno di farmi firmare questi certificati
qui,
associati a gmail.com, hotmail.com e gmx.de.
Thawte: nessun problema, mandi pure i certificati. Paga con carta
di credito?
Bye :)
Chris.
More information about the Lugbz-list
mailing list